情報セキュリティポリシーとは？記載内容や策定ポイントも解説！

情報セキュリティポリシーの重要性

情報セキュリティポリシーとは、企業などの組織が定める情報セキュリティに関する方針・行動指針のこと。企業がもつ情報資産をどのように内外の脅威から守るか、どのような対策を講じるかなどを具体的に示します。

企業にとっての情報資産は、生命線といっても過言ではないでしょう。ひとたび機密情報の漏えいや個人情報の流出などが起これば企業の信頼は瞬く間に失われ、賠償や訴訟といった大問題にも発展しかねません。

企業の今後を左右しかねないこれらのリスクから情報資産を守り、トラブルが起きた際に迅速な対応を行うには、情報セキュリティ対策が不可欠です。そして組織が情報セキュリティマネジメントを行うには、指針となる情報セキュリティポリシーの存在が必要なのです。ポリシーの策定は企業にとって非常に重要なものといえるでしょう。

情報セキュリティポリシーを策定すれば、セキュリティに関する判断基準や取るべき対策が具体的になります。従業員への周知により、それぞれのセキュリティ意識を高められることも大きなメリットといえるでしょう。またポリシーを策定していれば、災害時など不測の事態が起きた際にも慌てずに適切な対応が可能になります。

情報セキュリティポリシーの内容

それでは、情報セキュリティポリシーには具体的にどのような内容が記載されるのでしょうか。内容は「基本方針」「対策基準」「実施手順」の３部構成が一般的です。それぞれを詳しく見ていきましょう。

【基本方針】組織の指針を宣言する

基本方針は、後述する対策基準や実施手順の基本的な考え方を示すものです。なぜ情報セキュリティポリシーが必要なのか、どのような方針で対策を取るのかなどの理念を記載します。また情報セキュリティポリシーの適用範囲や対象者、違反時の対応などもここで明示しましょう。

【対策基準】ガイドラインを載せる

対策基準には、実際の指針が記されます。部署や業務ごとのガイドラインを載せるイメージです。例としてよくあるガイドラインをいくつか見てみましょう。

• ■システム開発ガイドライン
• ■サーバ運用ガイドライン
• ■社内ネットワーク利用ガイドライン
• ■アウトソーシング契約ガイドライン
• ■セキュリティ教育ガイドライン
• ■入退出管理ガイドライン

それぞれのガイドラインで、情報セキュリティ対策の方法や基準などを明示します。何がどこまで許されるのか明確な基準を設けて記載しましょう。対策基準に違反した際の罰則も記します。

【実施手順】具体的な運用方法を載せる

実施手順は、先述した対策基準について具体的にどのような方法で満たすかを示すものです。マニュアルと考えるとわかりやすいでしょう。もしセキュリティ教育について記すならば、以下のような内容を載せます。

• ■教育を実施する頻度や回数
• ■対象者
• ■採用する教材や学習形態
• ■教育効果を測定する方法

実施手順が忠実に実行されれば対策基準が自然と満たされる、というかたちになります。業務別に、具体的で実現性の高い手順を定めましょう。

情報セキュリティポリシー策定のポイント

次に、策定のポイントについて見ていきましょう。経済産業省の政策実施機関である独立行政法人情報処理推進機構（IPA）は、情報セキュリティポリシーの決め方として以下の８ステップを定めています。

• １．組織・体制の確立
• ２．基本方針の策定
• ３．情報資産の洗い出しと分類
• ４．リスク分析
• ５．管理策の選定
• ６．対策基準の策定
• ７．対策基準の明文化と周知徹底
• ８．実施手順の策定

実際の策定手順は企業によって異なりますが、初めて策定する場合はこの決め方を参考にするとよいでしょう。では、以上を踏まえて策定時のポイントを解説します。

具体的にわかりやすく記載する

情報セキュリティポリシーは、それぞれセキュリティの知識量が異なる多くの従業員が目にするものです。わかりやすさを意識して記載しなければ、内容を理解できない従業員も出てくる可能性があるでしょう。内容がわからなければ従うことはできず、情報セキュリティポリシーは形骸化してしまうかもしれません。

そのような事態を防ぐために、情報セキュリティポリシーでは平易な表現を心がけましょう。また文章がわかりやすいだけでなく、迷わずすぐ実行できるほど具体的に記すことが大切です。例えばパスワードの設定方法を記載する際には、以下のように記述するとよいでしょう。

• ■10文字以上にすること
• ■数字と英字をそれぞれ最低１つ含めること
• ■同じ文字を３つ以上含まないこと
• ■３か月おきに変更すること

前出の情報処理推進機構では、基本方針のサンプルなどを掲載しています。それをもとに検討するのも一つの手でしょう。

参考：中小企業の情報セキュリティ対策ガイドライン｜独立行政法人情報処理推進機構

責任者を明確にし体制を整える

情報セキュリティポリシーの策定は、組織全体にかかる大がかりな仕事です。まずは運営組織を立ち上げて体制を整える必要があるでしょう。

このとき、運営組織には経営層の参加も欠かせません。情報セキュリティポリシーの運用では別の担当者が主体となるにせよ、策定時には経営層も積極的にかかわる必要があります。情報セキュリティポリシーは、企業がどれほどセキュリティリスクに対抗できるかを社内外にあらわす重要なものだからです。

ただし経営層だけで決めてしまえば、情報セキュリティポリシーと現場の状況が乖離し、実情にそぐわないものとなってしまうでしょう。現場の視点を持ちつつ、セキュリティ知識に長けた人材を責任者に据えるのがおすすめです。

もし社内に十分な知見をもつ従業員がいなければ、コンサルタントなど外部の専門家に協力を仰ぐことも可能です。ただしその場合でも、社内の責任者を主体として策定・運用を行いましょう。内部事情に精通した責任者が中心にいることで、実情に即したポリシーが策定できるためです。外部の専門家にはあくまでもアドバイザーとして、協力してもらうかたちが望ましいでしょう。

情報セキュリティポリシー運用のコツ

情報セキュリティポリシーは、一度策定すれば完成するものではありません。初めて策定する段階で完全なセキュリティポリシーを作ることは極めて困難だからです。またIT技術の進歩や法改正、社内体制の変化などにともない、内容を改変する必要に迫られることもあります。

したがって情報セキュリティポリシーは、継続的に手を加えてよりよいものを目指すのが望ましいでしょう。以下のようにPDCAサイクルを回しながら、情報セキュリティマネジメントを行うのがおすすめです。

Plan（計画・策定）

状況に見あった情報セキュリティポリシーを策定する

Do（導入・運用）

対策基準・実施手順に従って業務を遂行する。必要に応じて教育も行う

Check（監査・評価）

問題点の有無とその原因を明らかにする。セキュリティ情報の収集、従業員へのヒアリング調査なども実施する

Action（改善）

Checkで得た知見を次のPlanにどう活かすか検討する

情報セキュリティポリシーを策定して従業員の意識を高めよう！

情報セキュリティポリシーは、企業がセキュリティ対策を行う方針や手順を定めたものです。一般的には基本方針、対策基準、実施手順で構成されます。策定の際には具体的な記載を心がけ、体制も整備しましょう。また運用にはPDCAサイクルを回し、社会状況や社内体制にあわせて改善していく必要があります。自社に見あう情報セキュリティポリシーを策定し、情報資産を守りましょう。